Layer of Protection Analysis (LOPA)

1. Pengertian
Layer of Protection Analysis (LOPA) merupakan alat semikuantitatif untuk
menganalisa dan menilai resiko (Center for Chemical Process Safety, 2001). LOPA dapat
secara efektif digunakan pada tiap poin siklus dari sebuah proses atau fasilitas.
Input kunci dari LOPA adalah skenario yang diperoleh dari identifikasi potensi
bahaya. Tujuan utama LOPA adalah untuk memastikan bahwa telah ada lapisan perlindungan
yang sesuai untuk melawan skenario kecelakaan. Skenario mungkin membutuhkan satu atau
lebih lapisan perlindungan tergantung pada kompleksitas proses dan severity dari sebuah
consequence. Untuk skenario yang diberikan, hanya satu lapisan perlindungan yang harus
berhasil bekerja mencegah consequence.

Gambar 1.1 Lapisan pertahanan untuk melawan kemungkinan celaka

(Center for Chemical Process Safety, 2001)
Walaupun tidak ada lapisan yang efektif dengan sempurna, lapisan perlindungan yang cukup
harus disediakan agar resiko kejadian dapat ditolerir.
LOPA memberi analis resiko suatu metode untuk mengevaluasi resiko kembali dari
skenario kecelakaan yang dipilih, skenario biasanya diidentifikasi selama evaluasi potensi
bahaya kualitatif. LOPA terbatas untuk mengevaluasi satu penyebab consequence sebagai
skenario.

2. Langkah-Langkah Penyusunan LOPA

Gambar 2.1 Cara kerja LOPA (Center for Chemical Process Safety, 2001)
LOPA dibagi menjadi beberapa langkah :
1. Mengidentifikasi consequence untuk memilih skenario
2. Memilih skenario kecelakaan
3. Mengidentifikasi initiating event dari skenario dan menetapkan frekuensi initiating
event (event per year)
4. Mengidentifikasi IPLs dan memperkirakan probability of failure on demand (PFD)
dari masing-masing IPL
5. Menilai

resiko skenario secara matematis

dengan

mengkombinasikan

consequence, iniating event, dan data IPL

6. Mengevaluasi resiko untuk mencapai keputusan mengenai skenario
2.1 Penilaian Consequence dan Severity
Salah satu komponen resiko dari skenario kecelakaan adalah consequence.
Consequence adalah akibat yang tidak diinginkan dari skenario kecelakaan. Salah
satu keputusan pertama yang harus dibuat oleh sebuah organisasi ketika memilih
untuk mengimplementasikan LOPA adalah menentukan titik akhir dari consequence.
Metode yang digunakan untuk mengkategorikan consequence harus konsisten
dengan kriteria resiko yang dapat ditolerir perusahaan
2.2 Pembuatan Skenario
Pembuatan skenario merupakan langkah LOPA dimana analis atau tim
membangun satu rangkaian kejadian, termasuk kejadian pemicu dan kegagalan dari
IPLs, yang mengarah pada satu consequence yang tidak diinginkan. Masing-masing
skenario terdiri dari sedikitnya dua unsur yaitu:
a.

initiating event yang memulai rantai kejadian

b.

consequence yang menghasilkan dampak jika rantai kejadian berlanjut tanpa

henti

Efektivitas metode LOPA dipercayakan pada tampilan detil dalam skenario.

Adapun cara mengidentifikasi dan mengembangkan kandidat untuk sebuah
skenario terbagi menjadi 2 hal yaitu:
1. Mengidentifikasi skenario yang menjadi kandidat
Sumber informasi paling banyak untuk mengidentifikasi skenario adalah
evaluasi potensi bahaya yang dikembangkan dan didokumentasikan untuk
proses-proses yang telah ada dan dilakukan sepanjang perancangan
modifikasi dan proses-proses baru. Tujuan dari evaluasi potensi bahaya
adalah untuk mengidentifikasi, menilai dan mendokumentasikan resikoresiko yang berhubungan dengan proses.
Pada umumnya HAZOP berisi cukup informasi untuk menguraikan
komponen-komponen dari sebuah skenario. LOPA dapat mengambil
informasi dari HAZOP dan menetapkan nilai angka untuk frekuensi initiating
event, frekuensi kegagalan dan probability failure on demand (PFD), dan
menentukan apakah sebuah safeguard adalah sebuah IPL. Penyebab yang
diidentifikasi dalam HAZOP digunakan untuk menetapkan initiating event
dan metode LOPA akan menetapkan frekuensi. Dengan cara yang sama,
jika HAZOP mengidentifikasi safeguard, LOPA akan menentukan apakah ini
adalah IPL untuk skenario, dan jika demikian, PFD apa harus ditetapkan.

Gambar 2.9
Informasi HAZOP dan LOPA
(Center for Chemical Process Safety, 2001)
2. Mengembangkan skenario
Setelah skenario diidentifikasi, skenario harus dikembangkan dan
didokumentasikan pada level dimana pemahaman dasar dari kejadian dan
safeguard dapat dicapai. Faktor apapun yang bisa mempengaruhi
perhitungan

klasifikasi

atau

ukuran

consequence

atau

frekuensi

consequence harus dimasukkan dan didokumentasikan. Setelah initiating

event diidentifikasi untuk skenario, analis harus menentukan enabling event
atau kondisi apapun yang diperlukan initiating event untuk sampai kearah
consequence.
Langkah berikutnya dalam mengembangkan skenario adalah untuk
mengidentifikasi safeguard yang ada pada tempatnya, yang jika mereka
beroperasi sebagaimana yang diharapkan, mungkin mencegah skenario
berlanjut pada consequence. Sebaiknya mendaftar semua safeguard untuk
skenario tertentu sebelum memutuskan yang benar-benar IPLs.
2.1.1

Identifikasi Frekuensi Initiating Event

Untuk LOPA, masing-masing skenario mempunyai satu initiating event.
Frekuensi initiating event secara normal dinyatakan dalam kejadian per tahun.
Beberapa sumber menggunakan satuan lain, seperti kejadian per 106 jam.
Initiating event secara umum dibagi menjadi tiga tipe yaitu:
1. Equipment-Related Initiating Events
Initiating events yang terkait dengan peralatan dapat digolongkan ke
dalam:
a. kegagalan sistem kendali
b. kegagalan mekanis
2. Human Failure-Related Initiating Events
Penyebab yang berhubungan dengan kegagalan manusia adalah salah
satu dari kesalahan karena ketidaktahuan atau kesalahan pengawasan, dan
meliputi tetapi tidak terbatas pada:
a. kegagalan untuk melaksanakan langkah-langkah dari satu tugas
dengan baik
b. kegagalan untuk mengamati atau menjawab dengan benar pada suatu
kondisi proses atau sistem

Sistem manajemen secara normal tidak didaftarkan sebagai initiating events,

walaupun sistem manajemen yang tidak efektif sering menjadi sebab dasar
dari kesalahan manusia.
3. External Initiating Events
Kejadian eksternal meliputi gejala alam seperti gempa bumi, angin
topan, atau banjir, ledakan atau kebakaran pada fasilitas-fasilitas
pendamping; dan intervensi pihak ketiga seperti dampak mekanis pada
peralatan atau tumpuan kendaraan bermotor, atau peralatan konstruksi.
Sebelum menetapkan frekuensi initiating event, semua penyebab dari
langkah pengembangan skenario harus ditinjau dan dibuktikan sebagai initiating
event yang sah untuk consequence yang diidentifikasi. Analis juga perlu
memverifikasi bahwa semua potensi initiating event ditentukan dengan
mengamati proses dari perspektif sistem. Analis perlu memastikan bahwa
initiating event dalam semua model operasi (meliputi operasi normal, startup,
shutdown) dan peletakan peralatan (meliputi standby, dalam perawatan) telah
diidentifikasi.
Jumlah sumber dari data kegagalan tersedia untuk menetapkan nilai
yang konsisten pada frekuensi initiating event. Meliputi:
1. Data dari industri
2. Pengalaman perusahaan dimana tersedia data historis
3. Data dari produsen
Data kegagalan harus dipilih dengan jumlah permasalahan yang meliputi:
1. Laju kegagalan harus konsisten dengan desain dasar fasilitas dan konsisten
dengan metode perusahaan membuat keputusan berdasar resiko
2. Semua laju kegagalan yang digunakan harus berasal dari lokasi yang sama
pada rentang data
3. Data laju kegagalan yang dipilih harus mewakili industri atau operasi yang
ditetapkan
Ketika data-data yang tersebut diatas tidak tersedia, keputusan harus digunakan
untuk memutuskan data mana yang berasal dari sumber luar yang lebih dapat
diaplikasikan pada situasi tersebut. Banyak database laju kegagalan
mengandung data yang menunjukkan dua atau lebih tempat yang signifikan.
Metode LOPA mengasumsikan bahwa laju kegagalan adalah konstan. Hal ini
tidak selalu benar, karena laju kegagalan peralatan lama biasanya lebih tinggi
daripada peralatan yang masih baru. Untuk tujuan LOPA, laju kegagalan konstan

sudah cukup. Frekuensi initiating events yang sering digunakan ditunjukkan pada
tabel 2.6.
Tabel 2.6

Nilai frekuensi yang biasa digunakan, f1, untuk

menetapkan initiating events

Initiating Event

Pressure vessel residual failure

Piping residual failure - 100 m - Full Breach
Piping leak (10% section)- 100 m
Atmospheric tank failure
Gasket/packing blowout
Turbine/diesel engine overspeed with
casing breach
Third party intervention (external impact by
backhoe, vehicle, etc)
Crane load drop
Lightning strike
Safety valve open spuriously
Cooling water failure
Pump seal failure
Unloading/loading hose failure
BPCS instrument loop failure Note:
IEC61511 limit is more than 1x10-5/hr or
8.76x10-2/yr (IEC,2001)
Regulator failure
Small external fire (aggregate causes)
Large external fire (aggregate causes)
LOTO (lock-out tag-out) procedure* failure
* overall failure of a multiple element
process
Operator failure (to execute routine
procedure, assuming well trained,
unstressed, not fatigued)

10-5 to 10-7
10-5 to 10-6
10-3 to 10-4
10-3 to 10-5
10-2 to 10-6

Example of a
Value Chosen
by a
Company for
Use in LOPA
(per year)
1x10-6
1x10-5
1x10-3
1x10-3
1x10-2

10-3 to 10-4

1x10-4

10-2 to 10-4

1x10-2

10-3 to 10-4 per lift

10-3 to 10-4
10-2 to 10-4
1 to 10-2
10-1 to 10-2
1 to 10-2

1x10-4 per lift

1x10-3
1x10-2
1x10-1
1x10-2
1x10-1

1 to 10-2

1x10-1

1 to 10-1
10-1 to 10-2
10-2 to 10-3

1x10-1
1x10-1
1x10-2

10-3 to 10-4 per

opportunity

1x10-3 per
opportunity

10-1 to 10-3 per

opportunity

1x10-2 per
opportunity

Frequency
Range from
Literature (per
year)

(Sumber: Center for Chemical Process Safety, 2001)

Untuk sistem atau operasi yang tidak berkelanjutan, data laju kegagalan
harus disesuaikan untuk mencerminkan bahwa kemungkinan kerugian waktu
(time at risk) untuk komponen atau operasi telah ditetapkan. Penting untuk
memastikan bahwa data laju kegagalan yang digunakan untuk satu proses
adalah konsisten dengan asumsi dasar yang tidak dapat dipisahkan sebagian

besar data laju kegagalan dinyatakan dengan satuan "per tahun" ( yr-1), itu
diperlukan untuk melakukan penyesuaian data untuk mencerminkan bahwa
komponen atau operasi tidak mengalami kegagalan sepanjang tahun, tetapi
hanya pada pecahan tahun ketika sedang beroperasi atau "berhadapan dengan
resiko".
2.1.2

Identifikasi Independent Protection Layer (IPL)

IPL adalah sebuah alat, sistem, atau tindakan yang dapat mencegah
skenario berproses menjadi consequence yang tidak diinginkan dari initiating
events. Pembedaan antara IPL dan safeguard adalah penting. Safeguard adalah
alat, sistem atau tindakan yang akan menghentikan rantai kejadian setelah
initiating events. Efektifitas IPL dihitung dengan istilah probability failure on
demand (PFD) yang merupakan kemungkinan suatu sistem akan gagal
melaksanakan fungsinya yang spesifik. PFD adalah angka tanpa dimensi antara
0 dan 1. Nilai terkecil dari PFD merupakan pengurangan frekuensi consequence
terbesar dari frekuensi initiating event yang diberikan. Karakteristik lapisan
perlindungan dan bagaimana mereka seharusnya dikelompokkan sebagai IPL
dalam metode LOPA dibahas pada penjelasan di bawah ini:
1. Process Design
Pada banyak perusahan, diasumsikan bahwa beberapa skenario tidak
dapat terjadi karena desain inherently safer pada peralatan dan proses.
Pada perusahaan lainnya, beberapa fitur pada desain proses yang
inherently safer dianggap nonzero PFD masih terjadi-artinya masih mungkin
mengalami kegagalan industri. Desain proses harus dianggap sebagai IPL,
atau ditetapkan sebagai metode untuk mengeliminasi skenario, tergantung
pada metode yang digunakan oleh organisasi.
2. Basic Process Control System (BPCS)
BPCS meliputi kendali manual normal, adalah level perlindungan
pertama selama operasi normal. BPCS didesain untuk menjaga proses
berada pada area selamat. Operasi normal dari BPCS control loop dapat
dimasukkan sebagai IPL jika sesuai kriteria. Ketika memutuskan
menggunakan BPCS sebagai IPL, analis harus mengevaluasi efektifitas
kendali akses dan sistem keamanan ketika kesalahan manusia dapat
menurunkan kemampuan BPCS.
3. Critical Alarms and Human Intervention

Sistem ini merupakan level perlindungan kedua selama operasi normal

dan harus diaktifkan oleh BPCS. Tindakan operator, diawali dengan alarm
atau observasi, dapat dimasukkan sebagai IPL ketika berbagai kriteria telah
dapat memastikan kefektifan tindakan.
4. Safety Instrumented Function (SIF)
SIF adalah kombinasi sensor, logic solver, dan final element dengan
tingkat integritas keselamatan spesifik yang mendeteksi keadaan diluar
batas dan membawa proses berada pada fungsi yang aman. SIF merupakan
fungsi independent dari BPCS. SIF normalnya ditetapkan sebagai IPL dan
desain dari suatu sistem, tingkat pengurangan, dan jumlah dan tipe
pengujian akan menentukan PFD dari SIF yang diterima LOPA.
5. Physical Protection (Relief Valves, Rupture Disc, etc)
Alat ini, ketika ukuran, desain, dan perawatannya sesuai, adalah IPL
yang dapat menyediakan perlindungan tingkat tinggi untuk mencegah
tekanan berlebih. Keefektifan mereka dapat rusak akibat kotor dan korosi,
jika block valves dipasang di bawah relief valve, atau jika aktivitas inspeksi
dan perawatan sangat memprihatinkan.
6. Post Release Protection (Dikes, Blast Walls, etc)
IPLs ini adalah alat pasif yang dapat menyediakan perlindungan tingkat
tinggi jika didesain dan dirawat dengan benar. Walaupun laju kegagalan
mereka rendah, kemungkinan gagal harus dimasukkan dalam skenario.
7. Plant Emergency Response
Fitur ini (pasukan pemadam kebakaran, sistem pemadaman manual,
fasilitas evakuasi, dll) secara normal tidak ditetapkan sebagai IPLs karena
mereka diaktifkan setelah pelepasan awal dan terlalu banyak variabel
mempengaruhi keseluruhan efektifitas dalam mengurangi skenario.
8. Community Emergency Response
Pengukuran ini, yang meliputi evakuasi komunitas dan tempat
perlindungan secara normal tidak ditetapkan sebagai IPLs karena mereka
diaktifkan

setelah

pelepasan

awal

dan

terlalu

banyak

variabel

mempengaruhi keseluruhan efektifitas dalam mengurangi skenario. Hal ini

tidak menyediakan perlindungan terhadap personil plant.
Tabel 2.7

Contoh safeguard yang biasanya tidak ditetapkan

sebagai IPLs

Safeguard do
not usually
considered
IPLs
Training and
certification

Comments

These factors may be considered in assessing the PFD for

operator action, but are not-of themselves-IPLs
These factors may be considered in assessing the PFD for
Procedures
operator action, but are not-of themselves-IPLs
These activities are assumed to be in place for all hazard
evaluations and form the basis for judgement to determine
Normal testing
PFD. Normal testing and inspection affects the PFD of certain
and inspection
IPLs. Lengthening the testing and inspection intervals may
increase the PFD of an IPL.
These activities are assumed to be in place for all hazard
Maintenance
evaluations and form the basis for judgement to determine
PFD. Maintenance affects the PFD of certain IPLs.
It is a basic assumption that adequate communications exist
Communications in a facility. Poor communications affects the PFD of certain
IPLs.
Signs by themselves are not IPLs. Signs may be unclear,
Signs
obscured, ignored, etc. Signs may affect the PFD of certain
IPLs.
Active fire protection is often not considered as an IPL as it is
post event for most scenarios and its availability and
effectiveness may be affected by the fire/explosion which it is
intended to contain. However, if a company can demonstrate
that it meets the requirements of an IPL for a given scenario,
it may be used (e.g., if an activating system such a plastic
Fire protection
piping or frangible switches are used)
Note: fire protection is mitigation IPL as it attempts to prevent
a larger consequence subsequent to an event that has
already occurred. Fire proof insulation can be used as an IPL
for some scenarios provided that it meets the requirements of
API and corporate standards
Requirement
that information
This is a basic requirement
is available and
understood
(Sumber: Center for Chemical Process Safety, 2001)

Supaya dapat dikategorikan kedalam IPL, suatu alat, system, atau

tindakan harus:
1. Efektif

Jika suatu alat, sistem, atau tindakan dikategorikan sebagai sebuah IPL,
mereka harus efektif dalam mencegah consequence yang tidak diinginkan
dari skenario. Jika safeguard tidak dapat memenuhi ketentuan tersebut
maka safeguard itu bukanlah sebuah IPL.
2. Auditable
Sebuah komponen, sistem, atau tindakan harus dapat di audit untuk
menunjukkan bahwa hal tersebut sesuai dengan ketentuan pengurangan
resiko oleh IPL LOPA. Proses audit harus menunjukkan bahwa IPL efektif
mencegah consequence.
3. Independece
Metode LOPA menggunakan independence untuk meyakinkan bahwa
efek dari initiating event, atau IPL lainnya, tidak berinteraksi dengan IPL
yang spesifik dan akan mengurangi kemampuan dan fungsinya.

Gambar 2.10

Contoh IPL yang tidak independent dari initiating events

(Center for Chemical Process Safety, 2001)

Ketentuan dasar dari efektifitas, independence, dan auditability untuk

sebuah IPL ditentukan oleh beberapa metode. Metode paling sederhana adalah
dengan menggunakan penulisan dasar desain, atau lembar rangkuman IPL. Hal
ini harus meliputi penetapan initiating event, tindakan yang dilakukan oleh sistem
atau alat, dan pengaruh dari tindakan tersebut. PFD untuk sebuah IPL adalah
kemungkinan yang ketika diminta tidak akan melakukan tugas yang seharusnya.
Analis harus mengevaluasi desain dari kandidat IPL terhadap kondisi dari
skenario untuk menilai PFD yang sesuai untuk IPL. Nilai PFD juga harus
konsisten dengan laju kegagalan yang digunakan untuk mengembangkan
frekuensi initiating event dan kriteria resiko yang ditolerir. Contoh dari IPLs:
1. Instrumented System
Sistem ini merupakan kombinasi dari sensor, logic solver, kendali
proses, dan final elements yang bekerja bersama, untuk mengatur operasi
plant otomatis, atau untuk mencegah terjadinya kejadian spesifik di dalam

proses manufaktur kimia. Dua tipe instrumented system yang ditetapkan

sebagai dasar metode LOPA yaitu:
a. continuous controller (seperti kendali proses yang mengatur aliran,
temperatur, atau tekanan pada nilai yang ditetapkan operator)
b. state controller (logic solver yang melakukan proses pengukuran dan
mengatur perubahan on-off pada indikator alarm dan process valve)
2. IPLs Pasif
IPL pasif tidak perlu melakukan tindakan supaya dapat mencapai
fungsinya yaitu mengurangi resiko. IPLs ini mencapai fungsi yang
diharapkan jika proses atau desain mekanis mereka benar dan jika
dibangun, dipasang, dan dirawat dengan benar. Alat-alat tersebut
diharapkan untuk mencegah consequence yang tidak diinginkan
(penyebaran kebocoran, kerusakan peralatan atau bangunan akibat
ledakan, dll). Jika didesain dengan benar, sistem pasif tersebut dapat
dikategorikan sebagai sebuah IPL dengan tingkat keyakinan tinggi dan akan
mengurangi frekuensi kejadian dengan consequence besar yang potensial
secara signifikan.
Tabel 2.8

Contoh IPLs Pasif

IPL

Dike

Underground
Drainage
System
Open Vent (no
valve)
Fireproofing

Blastwall/Bunker

Comments
Assuming an adequate
design basis and
adequate inspection and
maintenance procedures
Will reduce the frequency
of large consequences
(widespread spill) of a
tank
overfill/rupture/spill/etc
Will reduce the frequency
of large consequences
(widespread spill) of a
tank
overfill/rupture/spill/etc
Will prevent over pressure
Will reduce rate of heat
input and provide
additional time for
depressurizing/firefighting/
etc
Will reduce the frequency
of large consequences of
an explosion by confining

PFD from
Literature
and Industry

PFD used in
This Book
(For
screening)

1x10-2-1x10-3

1x10-2

1x10-2-1x10-3

1x10-2

1x10-2-1x10-3

1x10-2

1x10-2-1x10-3

1x10-2

1x10-2-1x10-3

1x10-3

blast and protecting

equipment/buildings/etc
If properly implemented
can significantly reduce
the frequency of
consequences associated
with a scenario. Note: the
LOPA rules for some
Inherently
companies allow
Safe Design
inherently safe design
features to eliminate
certain scenarios (e.g.,
vessel design pressure
exceeds all possible high
pressure challenges)
If properly designed,
installed, and maintained
Flame/Detonati these should eliminate the
on Arrestors
potential for flash-back
through a piping system or
into a vessel or tank

1x10-1-1x10-6

1x10-2

1x10-1-1x10-3

1x10-2

(Sumber: Center for Chemical Process Safety, 2001)

3. Basic Process Control System (BPCS)
BPCS adalah sistem kendali yang memonitor secara terus menerus dan
mengendalikan proses operasi plant dari hari ke hari. BPCS menyediakan
tiga tipe yang berbeda dari fungsi keselamatan yang dapat menjadi IPLs:
a. continuous control action
b. state controllers (logic solver atau alarm trip units)
c. state controllers (logic solver atau control relays)
Untuk tujuan LOPA, beberapa perusahaan menggunakan PFD 1x10-1 untuk
tiap IPL BPCS yang dapat diaplikasikan pada initiating event-consequence.
4. IPLs Aktif
IPLs aktif perlu bergerak dari satu posisi ke posisi yang lain sebagai
respon terhadap perubahan properti proses yang dapat diukur, atau sinyal
dari sumber lain.
Tabel 2.9 Contoh IPLs Aktif
IPL

Comments
Assuming an adequate
design basis and

PFD from
Literature and
Industry

PFD Used
in This
Book

Relief valve

Rupture disc

inspection/maintenance
procedures
Prevents system exceeding
specified overpressure.
Effectiveness of this device is
sensitive to service and
experience
Prevents system exceeding
specified overpressure.
Effectiveness can be sensitive
to service and experience
Can be credited as an IPL if
not associated with the
initiating event being
considered

(For
screening)
1x10-1 1x10-5

1x10-2

1x10-1 1x10-5

1x10-2

Basic
1x10-1 1x10-2
Process
(>1x10-1 allowed
1x10-1
Control
by IEC)
System
Safety
Instrumented See IEC 61508 (IEC, 1998) and IEC 61511 (IEC, 2001) for life
Functions
cycle requirements and additional discussion
(Interlocks)
Typically consist of:
Single sensor (redundant for
fault tolerance)
SIL 1
Single logic processor
1x10-2 <1x10-1
(redundant for fault tolerance)
This book
Single final element
does not
(redundant for fault tolerance)
specify a
Typically consist of:
specific SIL
Multiple sensor (for fault
level.
tolerance)
Continuing
SIL 2
Multiple channel logic
1x10-3 <1x10-2
example
processor (for fault tolerance)
calculate
Multiple final elements (for
required
fault tolerance)
PFD for a
SIF
Typically consist of:
Multiple sensors
SIL 3
Multiple channel logic
1x10-4 <1x10-3
processor
Multiple final elements
(Sumber: Center for Chemical Process Safety, 2001)
5. Safety Instrumented System (SIS)
SIS adalah kombinasi dari sensor, logic solver, dan final element yang
menghasilkan satu atau lebih safety instrumented function (SIF). SIF
biasanya disebut interlocks dan safety critical alarms. Standard internasional
mengelompokkan SIF untuk penggunaan pada proses industri kimia ke
dalam kategori yang disebut safety integrity level (SIL), yaitu:

a. SIL 1 PFD 1x10-2 hingga < 1x10-1. SIF ini diimplementasikan secara
normal dengan 1 sensor, 1 logic solver SIS dan 1 final control element
b. SIL 2 PFD 1x10-3 hingga < 1x10-2. SIF ini biasanya secara penuh
bertumpuk dari sensor melalui logic solver SIS ke final control element
c. SIL 3 PFD 1x10-4 hingga < 1x10-3. SIF ini biasanya secara penuh
bertumpuk dari sensor melalui logic solver SIS ke final control element
dan memerlukan desain yang sangat hati-hati dan frekuensi uji
ketahanan untuk mencapai nilai PFD yang rendah
d. SIL 4 PFD 1x10-5 hingga < 1x10-4. SIF ini sulit didesain dan dirawat
dan tidak digunakan dalam LOPA.
6. Vendor Installed Safeguard
Banyak peralatan yang dipasok dengan berbagai safeguard dan sistem
interlock yang didesain oleh produsen peralatan. Benar jika menetapkan
alat tersebut sebagai IPLs berdasarkan kesesuaian mereka terhadap
ketentuan LOPA.
7. Deluges, Sprays, Foam System, dan Firefighting Mitigation System lainnya
Deluges, water spray, foam system mungkin dapat ditetapkan sebagai
IPLs untuk mencegah pelapasan bahan kimia jika didesain dirawat dengan
baik.
8. Pressure Relief Devices
Pressure relief valve membuka ketika tekanan dibawah valve melebihi
tekanan yang menahan valve untuk tetap menutup. Bejana bertekanan
membutuhkan relief valves untuk melindungi bejana atau sistem yang
didesain untuk semua skenario dan tidak menentukan ketentuan lain. Ini
menandakan bahwa relief valve adalah satu-satunya IPL yang dibutuhkan
untuk pelindung tekanan berlebih.
9. Human IPLs
Human IPLs melibatkan kemampuan operator atau staf lainnya untuk
mengambil tindakan pencegahan terhadap consequence yang tidak
diinginkan, sebagai respon terhadap alarms atau mengikuti pemeriksaan
rutin dari system.
Tabel 2.10
IPL

Contoh Human Action IPLs

Comments

PFD from

PFD Used

Human action
with 10
minutes
response time
Human
response to
BPCS
indication or
alarm with 40
minutes
response time
Human action
with 40
minutes
response time

Assuming an adequate
design basis and
inspection/maintenance
procedures
Simple well-documented
action with clear and reliable
indications that the action is
required

Literature and
Industry

in This
Book
(For
screening)

1,0 1x10-1

1x10-1

Simple well-documented
action with clear and reliable
indications that the action is
required (The PFD is limited
by IEC 61511; IEC 2001)

1x10-1
(>1x10-1
allowed by
IEC)

1x10-1

Simple well-documented
action with clear and reliable
indications that the action is
required

1x10-1 1x10-2

1x10-1

(Sumber: Center for Chemical Process Safety, 2001)

2.1.3

Penetapan Frekuensi Skenario

2.1.3.1

Perhitungan Kuantitatif Resiko dan Frekuensi

Perhitungan kuantitatif resiko dan frekuensi dibagi menjadi:
1. Perhitungan Umum
J

fic fiI x PFDij

j 1

fiI xPFDi1 xPFDi 2 x....xPFDij

Dimana:

fi c = frekuensi untuk consequence C dan initiating event i

fi I = frekuensi initiating event untuk initiating event i
PFDij = kemungkinan kegagalan dari jth IPL yang melindungi
terhadap consequence C dan initiating event i.
2. Perhitungan Frekuensi Outcomes Tambahan
Outcomes tambahan tersebut antara lain:
a. efek flammable seperti kebakaran atau ledakan

fi fire fiI x PFDij xP ignition

j 1

Pignition = kemungkinan penyulutan

dimana:

b. efek bahan beracun

fitoxic fi I x PFDij xP personpresent xP injury

j 1

dimana:
Pperson present = kemungkinan pekerja berada pada area yang
terkena dampak
Pinjury = kemungkinan terjadi cedera
c. efek paparan kebakaran atau bahan beracun

fi fire exposure fiI x PFDij xP ignition xP personpresent

j 1

imana:
Pignition = kemungkinan penyulutan
Pperson present = kemungkinan pekerja berada pada area yang
terkena dampak
d. cedera atau kematian

fi fireinjury fiI x PFDij xP ignition xP personpresent xP injury

j 1

dimana:
Pignition = kemungkinan penyulutan
Pperson present = kemungkinan pekerja berada pada area yang
terkena dampak
Pinjury = kemungkinan terjadi cedera
3. Perhitungan Resiko
Dimana:

RkC f kC xC k

RkC = indeks resiko dari outcomes insiden k, dinyatakan sebagai

magnitude dari consequences per satuan waktu. Satuan spesifik
akan bermacam-macam tergantung pada resiko yang dinilai.
Beberapa contoh mungkin meliputi resiko kematian per tahun,
jumlah kematian per tahun, kerugian ekonomi per bulan,
pelepasan polusi per hari,

f kC = frekuensi dari outcomes insiden k, dalam satuan waktu,

seperti: year1, hour1, dll

C k = perhitungan spesifik consequences dari outcomes insiden

k . Beberapa pengukuran dari consequence mungkin meliputi
kematian individu, jumlah kematian, jumlah kerugian ekonomi,
jumlah pelepasan polusi, jumlah orang yang terpapar pada
konsentrasi spesifik dari polusi udara. Ck mungkin dinyatakan
sebagai kategori.
4. Perhitungan Frekuensi Untuk Skenario Ganda
I

fi C

f1C f 2C ... f IC

i 1

Dimana:

fi C = frekuensi dari Cth consequence untuk ith initiating event.

2.1.3.2

Tabel Resiko atau Frekuensi

Resiko atau frekuensi skenario mungkin ditetapkan secara
kualitatif dengan menggunakan tabel. Kategori pada matrik meliputi:
1. frekuensi initiating event untuk skenario
2. keparahan dari consequence untuk skenario
3. jumlah IPLs yang dibutuhkan frekuensi consequence
Sebagai metode yang sering digunakan, tabel perusahaan
menunjukkan nilai IPL untuk IPLs yang sering digunakan. Selama
pengembangan metode ini, nilai IPL dikalkulasikan dari PFD IPL
menggunakan hubungan:
1 IPL credit = 1x10-2 PFD
Tabel 2.11

Contoh IPL Credit

IPL
(subset of tables 6.3,
6.4, 6.5)
Dike
Flame/detonation
arrestors
Relief valve
Rupture disc
SIF SIL 1
SIF SIL 2

1x10-2 1x 10-3

Number of IPL
Credits
(for the method
illustrated in this
book)
1 1,5

1x10-2 1x 10-3

1 1,5

1x10-1 1x 10-5
1x10-1 1x 10-5
1x10-1 1x 10-2
1x10-2 1x 10-3

0,5 2,5
0,5 2,5
0,5 1
1 1,5

PFD

SIF SIL 3
Human action with 10
minutes response time

1x10-3 1x 10-4

1,5 2

1,0 1x 10-1

0 0,5

(Sumber: Center for Chemical Process Safety, 2001)

Ga

2.1.3.3

mbar 2.11
SIL untuk SIF
(Center for Chemical Process Safety, 2001)
Perhitungan Resiko atau Frekuensi dengan Algoritma Integral
J

Fi Fi Pij'
C

j 1

Dimana:

Fi C = eksponen frekuensi untuk consequence C dari skenario i,

Fi I = nilai absolut dari log frekuensi initiating event i,

Pij' = nilai absolut dari log PFD (kemungkinan kegagalan) jth IPL
yang melindungi terhadap skenario i.
2.1.4

Pengambilan Keputusan Resiko

Pengambilan keputusan dilakukan setelah skenario telah terbangun
seluruhnya dan resiko yang ada telah dihitung. Pada akhir studi, baik kualitatif
maupun kuantitatif, keputusan terhadap resiko dibagi menjadi tiga kategori:
1. Mengatur resiko yang tersisadianggap dapat ditolerir
2. Memodifikasi (mengurangi) resiko agar dapat ditolerir
3. Menghilangkan resiko (bisnis, proses, dll) karena terlalu tinggi
LOPA biasanya diaplikasikan untuk menetapkan apakah resiko dari
skenario masih dapat ditolerir atau harus dikurangi. Tiga tipe dasar pengambilan
keputusan resiko yang digunakan LOPA:

1. Membandingkan antara kalkulasi resiko dengan kriteria resiko yang dapat

ditolerir
a. Metode Matrik
Matrik resiko adalah metode umum yang menunjukkan
frekuensi yang dapat ditolerir dari skenario berdasarkan keparahan
consequence dan frekuensi skenario. Sebuah contoh dapat dilihat pada
tabel 2.12
-

zone very low tidak memerlukan tindakan apapun

zone low memerlukan keputusan manajemen untuk memastikan

bahwa pengurangan tertentu dibutuhkan

zone moderate memerlukan pengurangan pada kesempatan

mendatang

zone high memerlukan pengurangan dengan segera atau

mematikan proses

Tabel 2.12

Risk Matrix with Individual Action Zone

(
Sumber: Center for Chemical Process Safety, 2001)
b. Metode Kriteria Numerik (Resiko maksimum yang dapat ditolerir tiap
skenario)
Beberapa perusahaan telah mengembangkan kriteria resiko
berdasarkan resiko maksimum yang dapat ditolerir tiap skenario,
berdasarkan pada berbagai kategori consequence.

c. Jumlah Kredit IPL

Beberapa perusahaan meletakkan kriteria resiko yang dapat
ditolerir ke dalam tabel yang menspesifikasikan jumlah kredit dari IPL
untuk skenario dari level consequence dan frekuensi tertentu. Kriteria
yang dapat ditolerir tidak diperlihatkan secara eksplisit. Biasanya, nilai
tabulasi disediakan untuk jumlah IPL yang dibutuhkan untuk rentang
frekuensi initiating event dan untuk nilai kredit IPL untuk berbagai
macam lapisan perlindungan. Lihat tabel 2.13, seperti yang terlihat pada
tabel metode ini biasanya menetapkan nilai 1 kredit IPL pada lapisan
perlindungan dengan PFD 1 102 , dan sebagainya.
Tabel 2.13

Ketentuan Kredit IPL

Adjusted Initiating Event

Frequency
Frequency 1x10-2
1x10-2 > Frequency 1x10-3
1x10-3 > Frequency 1x10-2
1x10-4 > Frequency 1x10-6
1x10-6 > Frequency

Number of IPL Credit Required

Consequence
Consequence
Category V
Category IV
Multiple
One Fatality
Fatalities
2
2.5
1,5
2
1
1,5
0,5
1
0
0,5

(Sumber: Center for Chemical Process Safety, 2001)

2. Keputusan Para Ahli
Keputusan para ahli dibutuhkan ketika kriteria resiko yang dapat ditolerir
tidak tersedia atau tidak ditetapkan dengan mudah melalui tipe proses yang
telah dianalisa atau potensi bahaya yang terlibat.
3. Perbandingan relatif antara beberapa alternatif untuk pengurangan resiko